高可靠性在播出系统设计中的体现
宋蔚
(中央电视台)
摘要 播出系统的设计和搭建时,需考虑完整的系统备份架构、合理视音频系统与稳定可靠的控制系统、可行的分级存储和视频服务器结构、深入考虑网络整体架构和信息安全措施,使系统尽量达到所需高可靠性的系统设计与实施。 关键词 整体备份架构 电视网络化制播链 视音频系统 分级存储服务器 网络及信息安全 1. 系统整体备份架构 一个系统的设计理念、备份原则、冗余机制、应急策略等方面是否考虑全面、充分、合理、可实施,这直接影响到整个系统在遇到突发事件时的抗干扰能力,也是反映整体系统设计的综合实力,在播出系统中这点显得尤为重要。 一般播出系统中主要采用设备级冗余备份的方式提高系统的整体安全性。可是在大规模多频道播出系统设计中,必须考虑系统级的备份措施。系统备份可以先将频道按照重要性等进行区分,新闻类比例可为1:1,其余可为1:4等播出备份。也要考虑应用软件以及视频服务器、周边板卡各类设备软、硬件存在的升级需求,配备需要一定规模的测试验证系统。 以央视总部为例,由于设计之初考虑到风险分担,整体播出系统采用了多个多频道播出组的形式,可采用以播出组为单位的备份形式,“统一备份播出组”为其它4个“常规播出组”的备份,作为整个播出系统的统一备份,在其它工作组正常工作的时候要保持待命状态,随时准备接管在播系统组,形成整体的冗余备份措施。 系统间采用同步播出的方法,使用节目执行单克隆播出的技术,以及在节目整备增加相应环节,解决了备份系统可同步跟随主播系统播出的问题。 这种备份机制适用于整个播出组的接管,适用于系统性的故障、设备软件升级或者扩展工程,可以将1个播出组整体迁移到备份组中进行工作,等到故障排除、检修或升级完毕再倒换回初始状态。各个播出组逐一倒换完成整个播出系统在不间断播出地情况下完成升级和检修。 以播出组为单位的集中备份方式,与以往的以单播出频道为备份的方式相比,以播出组备份具有更充分的备份理念,更为灵活的备份策略,既减少了设备开销,又最大程度地保证了整个播出系统的安全备份。 2. 视音频系统与控制系统结合制定完善的主备机制 自广电总局62号令《广播电视安全播出管理规定》2010年2月6日实施以来,各级电视台均按照相关规定评估和调改系统。央视总部的播出系统在设计和实施中,参照《各专业实施细则》播出系统部分的相关要求严格落实,认真部署,并积极思考。 尤其针对其中第二节第六条规定“应配备主备播出控制机和相应的监测切换软件,实现主备播出控制机的自动或手动倒换。”及第九条规定“主备播出信号应来自于不同的播出切换设备”两项要求,考虑如何能相互结合制定完善的主备机制。 2.1 播出视音频系统的并行链路 播出并行链路模型是将主备信号源均接进切换台(包含前端矩阵、处理器)和应急开关,在切换台和应急开关后面分别接入主备键控器。由切换台和主键控器、主二选一构成播出主链路,而由应急开关和备键控器、备二选一构成播出备链路。播出链路中信号源、切换器、键控器等设备故障均可使用二选一应急。 2.2 播出控制系统的主备机制 播出控制机采用主备分别控制方式,俗称“主控主,备控备”,即控制主机控制输出通道主路的信号源和相应通道周边设备,控制备机控制输出通道备路的信号源和相应通道设备。这样如果播出控制机主机发生故障,可通过422控制倒换的处理解决。而如果播出控制机主机故障发生在切换点时,也只会影响输出通道主路的信号源播出和相应的通道设备切换,不会影响播出备链路,此时应急操作简单易行,通过二选一进行切换,以恢复主备链路的正常播出。也就是正常时,由播出控制机主机控制主信号源(视频服务器主路)播放,并控制切换台切换到主信号源交叉点,经播出主链路播出;同理,由播出控制机备机控制备信号源(视频服务器备路)播放,并控制应急切换开关切换到备信号源交叉点,经播出备链路播出。 由于控制和链路都采用并行结构,需关注的是:播出控制机必须调整不同设备的控制精度;由于主备播出链路中切换台和应急切换开关的通道延时不一致,需对通路其他设备的延时进行调整,以达到主备链路延时一致。 3.分级存储及服务器异构 整个存储系统按照工作流程和系统功能可分为上载、存储传输、播出、近线等集群。上载级服务器的JOG/SHUTTLE等复杂操作不会对其他集群的工作产生影响;存储传输级带宽与外部系统进行随时随地的数据传输;近线作为已播节目的归档储存和重播回迁,满足海量存储及多重备份的要求;播出级的视频服务器可采用了双集群镜像的系统配置,最大限度地确保安全;这样分级存储的方式即提高了安全防护能力,满足了多重备份需求,又降低了故障的扩散面。 央视总部播出的存储系统由二级存储、应急存储、近线存储和视频服务器存储四部分组成,节目文件数据在系统间和各存储之间的流转由节目单驱动,通过几组不同功能的迁移集群自动执行。在视频服务器之前建立二级存储,充当播出系统与其他业务系统间的桥梁,既满足正常媒体文件迁移的需要,又降低了视频服务器的资源压力,还利用二级存储部署了人工复检等技术审查环节,进一步保证待播文件的可靠性;二级存储可采用完全镜像和部分镜像的策略,结合数据流磁带库的归档和回迁策略,不但实现待播节目媒体文件的多重备份和不同业务的分离处理,也提高了系统整体运行效率。 视频服务器系统是播出系统中至关重要的环节,它的稳定性直接影响播出的安全性。一般播出系统采用主备同构视频服务器集群播出来提供冗余的视频信号源,但是它这种结构存在由于软硬件缺陷同时故障的风险,存在对于同一个视频服务器厂商过分依赖的风险,存在同时软硬件升级导致运行不稳定的风险,存在同时受到恶意代码攻击的可能性,而且由于测试无法完全发现所有的随机错误,还存在视频服务器选型的风险。 由此主备视频服务器系统异构想法孕育而生,这种异构利用了系统结构、数据保护、软件平台的互补性,进行分别管理、分立运行,既解决了信号源冗余,有效地规避了同一软件在特定条件下同时发作系统级BUG的可能,以提高整个播出系统的容错性,确保信号源的高度可靠性。 而主备视频服务器系统异构并非十全十美,对系统设计和实施都带来了很多困难,备件预留、日常维护、传输性能以及控制特性的不一致性等问题都摆在面前,必须克服和解决,才能让播出视频服务器的异构具有可行性。总带宽应基本相同。当日常节目整备时,需要在相同的时间内完成三级整备,两个系统不应有较大差距。线程并发数和单流带宽要能够满足应用要求,任务调度分配策略需要主备分别设置。 IP接口应统一。视频服务器的播出文件都是通过FTP的方式进行整备的,迁移服务器需要维护一个统一的IP连接池。 AFD嵌入方式等功能要求在实现上应相同。 节目文件的封装、编解码要具有一定的兼容性。由于各厂家对于MXF文件的要求不尽相同,对于MXF的描述信息也具有差异,但必须都符合台内制定的节目文件MXF播出格式规范。 对于控制响应时间的不同,可以通过控制工作站分别进行调试,保存不同的响应时间,当系统倒换后,调用不同配置。 都支持SNMP监控,但是对于监控参数的定义具有较大的差异,必须设置两套监控字典。 设置两套维护手册和两套备件。 4 网络整体架构和信息安全措施 硬盘播出系统中的分级存储设备主要传输的是媒体类数据,占用网络带宽比较高;而数据库系统、各个业务系统工作站以及其它网络功能的网络服务器,主要传输信息类的数据,对网络带宽占用相对较低;另外还有控制工作站的控制信息,这类专业控制工作站要求实时性高,同时这些信息对网络带宽的使用也相对较低。 为了防止媒体类数据和信息类数据在传输中相互抢占带宽,影响各自业务系统的正常运行,因此依据接入设备的数量、对传输数据的分类和其所占用的带宽要求,网络总体拓扑一般会将媒体类和信息类的交换结构分离。而且为了进一步确保网络安全,会将控制网和其他的信息也做一定的隔离。 核心层交换机是整个播出系统的数据交换核心,管理和保存所有的网络配置信息和路由信息,一旦核心交换机自身硬件出现故障,则会引起网络波动,因此为了提高核心交换机自身的稳定性和安全性,必须是双机运行,具有冗余电源和冗余交换引擎。 对于链路冗余,主要是通过交换机配置来管理,根据核心层承载业务系统的划分,采用交换机的捆绑技术ether channel来实现和提高核心交换机的稳定性,防止一条链路的中断引起的网络收敛。 在信息安全设计中电视台必须紧密结合播出业务的特点,合理划分安全域,通过部署不同类型和功能的安全防护设备和产品,以实现整个播出系统各个安全域之间的隔离与控制,从而形成相辅相成的多种措施并举、多层次立体防护体系。 为了实现播出系统的信息安全必须要做到网络结构清晰化,明确防护重点,层层递进,纵深防御。以央视总部播出系统为例,简述设计思路。 A、播出区域边界通过万兆防火墙设置外界与播出系统的网络访问控制策略,仅开启FTP、CIFS、HTTP、TCP/IP通讯协议和相应通讯端口。通过防火墙检查以上数据包源地址、目的地址、请求服务等,阻止非授权数据包进入播出系统。 B、播出整备域边界通过防火墙,网络隔离交换组件实现边界从应用协议、数据格式和异常行为阻断等方面对网络访问行为进行控制;播出整备域计算环境以可信计算为基础,保障节点的安全可信,从而建立可信应用环境。 C、视频播出域通过防火墙实现边界从通信协议、通信ip、通信端口等方面对网络访问行为进行控制。媒体视频播出域计算环境使用专用播出设备和定制裁剪过的操作系统,安全威胁相对较少,同时播出系统的MXF文件经过人工复检可以做到运行可信。通过构建播出服务器的外围安全计算环境,使之达到信息安全的高要求。 D、资源服务域边界通过防病毒组件对传输的数据进行过滤,网络隔离交换组件控制数据流向,利用网络隔离交换组件的摆渡特性来隔离网络,同时网络隔离交换组件保证“协议落地”。资源服务域计算环境以可信计算为基础,保障节点的安全可信,从而建立可信应用环境。 E、播控域通过防火墙实现边界从通信协议、通信ip、通信端口等方面对网络访问行为进行控制。播控域计算环境以可信计算为基础,保障节点的安全可信,从而建立可信应用环境。 5 小结 播出系统具有规模日益庞大,功能日趋复杂,技术日新月异的特点,这给播出系统设计、搭建、运行提出了很高要求,要勇于创新,更要时时刻刻将“安全播出”四个字永记于心。视音频切换系统、IT支撑服务系统、软件应用系统各子系统在建设时,需充分考虑系统、设备的备份原则和方法,进行各项高可靠性的系统设计与实施;并严格执行、制定、完善的应急操作和倒换机制;不断提高系统的可靠性,达到高安全播出指标
评论 点击评论